MetaMask, Phantom Dedahkan Keterdedahan Yang Meletakkan Bukti Kelayakan Pengguna Pada Risiko

MetaMask, Phantom, dan dompet penyemak imbas lain didedahkan dalam catatan blog yang diterbitkan pada hari Rabu bahawa mereka menambal kelemahan keselamatan yang kritikal. Kerentanan itu mungkin telah mendedahkan bukti kelayakan log masuk pengguna yang sensitif pada peranti yang telah dikompromi. 

Walau bagaimanapun, pembekal dompet menyatakan bahawa tidak ada bukti untuk mempercayai bahawa kelemahan itu pernah dieksploitasi, dan tiada dana pengguna diketahui telah terjejas olehnya. 

Latar Belakang Mengenai Keterdedahan 

Pepijat itu ditemui berikutan maklumat kepada MetaMask dan Phantom oleh firma keselamatan blok Halborn. Halborn mendapati bahawa Frasa Pemulihan Rahsia yang digunakan oleh dompet berasaskan web (MetaMask, Phantom) boleh diekstrak daripada mesin yang terjejas dalam keadaan tertentu. Halborn menyatakan bahawa kelemahan itu tidak memberi kesan kepada pengguna mudah alih MetaMask dan hanya memberi kesan kepada sebahagian kecil pengguna sambungan MetaMask, bersama-sama dengan pengguna sambungan dan dompet penyemak imbas lain. 

Jadi Siapa Yang Berisiko? 

Kedua-dua MetaMask dan Phantom tidak mengesyorkan pengguna mengambil sebarang tindakan drastik. Satu-satunya tindakan yang disyorkan untuk pengguna ialah mengemas kini penyemak imbas mereka untuk memastikan bahawa dompet/sambungan mereka menjalankan versi perisian terbaharu dan dikemas kini. MetaMask, dalam catatan blognya, menyatakan bahawa pengguna hanya perlu bimbang jika mereka sepadan dengan kriteria berikut. 

• Pemacu keras mesin anda tidak disulitkan. 
• Jika anda, sebagai pengguna, mengimport Frasa Pemulihan Rahsia anda ke dalam sambungan Peranti MetaMask pada peranti lain yang pada masa ini tidak berada dalam simpanan anda, atau dalam milikan mana-mana individu yang anda tidak percayai, atau jika anda fikir komputer anda telah terjejas. 
• Jika anda menggunakan kotak semak "Tunjukkan Frasa Pemulihan Rahsia" dan melihat Frasa Pemulihan Rahsia anda pada skrin semasa proses import. 

MetaMask menyatakan dalam catatan blognya, 

“Jika komputer anda tidak selamat secara fizikal daripada orang yang anda tidak percayai, kami mengesyorkan anda mendayakan penyulitan cakera penuh pada sistem anda. Selain itu, anda tidak terjejas oleh ini jika dana anda diuruskan oleh dompet perkakasan.”

Catatan blog Phantom secara umum menyatakan perkara yang sama seperti catatan blog MetaMask. 

Siaran itu juga menyatakan bahawa kelemahan memberi kesan 

• Semua sistem pengendalian desktop dan sambungan penyemak imbas. 
• Semua versi MetaMask lebih lama daripada v10.11.3 pada semua versi penyemak imbas. 

Bagaimana Kerentanan Terjadi 

Kerentanan itu berlaku kerana keanehan dalam bahasa pengaturcaraan Javascript, yang kadangkala mengakibatkan Frasa Pemulihan Rahsia pengguna disimpan secara setempat untuk jangka masa tertentu (berbeza dari satu peranti ke peranti). Jika frasa itu dimasukkan pada peranti yang tidak selamat atau tidak dipercayai, penyerang berkemungkinan meleretnya daripada ingatan mesin jika mereka tahu di mana hendak mencari, membolehkan mereka mengawal dana seseorang. 

MetaMask mengeluarkan tampung untuk membetulkan pepijat pada Mac 2022, manakala Phantom dimaklumkan tentang pepijat itu pada September 2021 dan mengeluarkan beberapa tampung untuk membetulkan isu tersebut antara Januari dan April. 

Isu Sebelumnya Dengan MetaMask 

MetaMask telah menghadapi beberapa isu pada masa lalu juga. Kembali pada bulan April, MetaMask memberi amaran kepada penggunanya tentang potensi serangan pancingan data melalui akaun iCloud mereka. Pengguna terdedah kepada potensi penggodaman jika mereka mempunyai pilihan sandaran iCloud didayakan pada apl. Hanya sebulan sebelum amaran itu, platform telah datang Di bawah api daripada Crypto Twitter selepas percampuran membawa kepada penyekatan pengguna Venezuela daripada mengakses perkhidmatan. Ini berlaku apabila MetaMask dan Infura cuba mematuhi sekatan yang diumumkan oleh Amerika Syarikat. 

Penafian: Artikel ini disediakan untuk tujuan maklumat sahaja. Itu tidak ditawarkan atau dimaksudkan untuk digunakan sebagai nasihat hukum, pajak, pelaburan, kewangan, atau nasihat lain.